Add to collection(s) Add to saved
  1. No category
Uploaded by phurithatpetklai

ISO27001-2013 Training

advertisement 
Internal Audit Training Course
ISO/IEC 27001:2013
Information Security Management System
15-16 พฤศจิกายน 2566
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security
and process improvement. We are strongly committed to providing quality services and have instructor and consulting
team with a high degree of expertise and an average experience of more than 15 year
Confidential
1
What is information security?
ISO/IEC 27001:2013
2
ส่วนประกอบของ ISMS
Plan (การวางแผน)
Establishing the ISMS
Do (การดาเนินการ)
Implement and
Operate the ISMS
Check
(การตรวจประเมิน)
Monitor and Review
the ISMS
Act (การแก้ไข)
Maintain and
Improve the ISMS
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
MOC : ISMS Scope
“การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ของงานบริหารระบบโครงสร้างพื้นฐาน ซึ่งประกอบด้วย
สิ่งอานวยความสะดวกพื้นฐาน (Facilities) ระบบเครือข่าย (Network) ที่สนับสนุนการให้บริการของศูนย์ข้อมูล และ
เครือข่ายของกระทรวงพาณิชย์ (Data Center) และบริการ Private Cloud ของสานักงานปลัดกระทรวงพาณิชย์
”
“Information Security Management (ISMS) of Infrastructure Management This includes basic facilities
(Facilities) network (Network) that supports the service of the data center. and the network of the
Ministry of Commerce (Data Center) and the Private Cloud service of the Office of the Permanent
Secretary Ministry of Commerce.”
MOC : Internal Audit
หน้าที่และอานาจ
• จัดทำแผนการตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างน้อยปีละ ๑ ครั้ง
• จัดให้มีกิจกรรมการตรวจประเมินตามแผนที่กำหนดในหน้าที่และอำนาจ (๑)
• ดำเนินการตรวจประเมินตามแผนที่กำหนดในหน้าที่และอำนาจ (๑)
• ตรวจประเมินและติดตามผลการแก้ไขและการป้องกันประเด็นความไม่สอดคล้องที่พบจากการตรวจ
ประเมินภายใน (Internal Audit) หรือการตรวจประเมินภายนอก (External Audit)
• จัดอบรมผู้ตรวจประเมินให้มีความรู้ความสามารถในการตรวจประเมินระบบบริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศอย่างน้อยปีละ ๑ ครั้ง
• เชิญบุคคลที่เกี่ยวข้องมาให้ข้อมูล ข้อเท็จจริง และข้อเสนอแนะ รวมทั้งจัดส่งเอกสารหลักฐานที่เกี่ยวข้อง
เพื่อประกอบการพิจารณาของคณะตรวจประเมินภายใน
• รายงานผลการดำเนินงานและผลการตรวจประเมินต่อคณะกรรมการบริหารจัดการความมั่นคงปลอดภัย
สารสนเทศผ่านผู้แทนคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างน้อยปีละ ๑ ครั้ง
MOC : Internal Audit
หน้าที่และอานาจ
• จัดทำแผนการตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างน้อยปีละ ๑ ครั้ง
• จัดให้มีกิจกรรมการตรวจประเมินตามแผนที่กำหนดในหน้าที่และอำนาจ (๑)
• ดำเนินการตรวจประเมินตามแผนการที่กำหนดในหน้าที่และอำนาจ (๑)
• ติดตามและตรวจสอบผลการแก้ไขและการป้องกันประเด็นความไม่สอดคล้องที่พบจากการตรวจประเมิน
ภายใน (Internal Audit) หรือการตรวจประเมินภายนอก (External Audit)
• จัดอบรมผู้ตรวจสอบให้มีความรู้ความสามารถในการตรวจประเมินระบบบริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศอย่างน้อยปีละ ๑ ครั้ง
• เชิญบุคคลที่เกี่ยวข้องมาให้ข้อมูล ข้อเท็จจริง และข้อเสนอแนะ รวมทั้งจัดส่งเอกสารหลักฐานที่เกี่ยวข้อง
เพื่อประกอบการพิจารณาของคณะตรวจสอบภายใน
• รายงานผลการดำเนินงานและผลการตรวจประเมินต่อคณะกรรมการบริหารจัดการความมั่นคงปลอดภัย
สารสนเทศผ่านผู้แทนคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างน้อยปีละ ๑ ครั้ง
Internal Audit Concept
7
Internal Audit
C.9.2 Internal Audit
Document Ref. (เอกสารที่เกี่ยวข้อง)
[Internal Audit Procedure]
[Corrective and Preventive Action Procedure]
Document (หลักฐาน)
[Annual Audit Schedule]
[Internal Audit Plan]
[Audit Note]
[Internal Audit Report]
ISO_IEC_27001-2013
Audit Checklist
คาจากัดความของการตรวจประเมิน “Audit”
การตรวจประเมิน
กระบวนการที่ถูกจัดทาขึ้นอย่างเป็นระบบ เป็นอิสระ และเป็นลายลักษณ์อักษร เพื่อให้ได้มาซึ่งหลักฐานการตรวจประเมิน
(Audit evidence) และการตรวจประเมินอย่างเป็นรูปธรรม เพื่อตัดสินระดับการบรรลุผลตามวัตถุประสงค์ของการตรวจ
ประเมินที่วางไว้
มาตรฐานที่นามาใช้อ้างอิงฯ
อ้างอิงมาตรฐาน ISO 27001 (ระบบบริหารจัดการความมั่นคงปลอดภัยสาหรับสารสนเทศ)
9
ประเภทของการตรวจประเมิน
การตรวจประเมินโดย
บุคคลที่หนึ่ง
• เป็นการตรวจประเมินโดยองค์กรเป็น
ผู้ตรวจประเมินตนเอง เช่น การตรวจ
ประเมินระบบภายใน
• วัตถุประสงค์เพื่อ
• พิจารณาความสอดคล้องของการ
ปฏิบัติงานกับมาตรฐาน
• เป็นกลไกในการควบคุมของ
ฝ่ายบริหาร
• ปรับปรุงอย่างต่อเนื่อง
การตรวจประเมินโดย
บุคคลที่สอง
• เป็นการตรวจประเมินโดยลูกค้า หรือ
บุคคลที่มีส่วนได้ส่วนเสียกับองค์กร เช่น
ลูกค้า, ผู้ส่งมอบ และ ผู้รับเหมาช่วง
• วัตถุประสงค์เพื่อ
• คัดเลือกหรือจัดเกรดผู้ส่งมอบ
• ช่วยปรับปรุงระบบคุณภาพของ
ผู้ส่งมอบ/ผู้รับเหมา
การตรวจประเมินโดย
บุคคลที่สาม
• เป็ น การตรวจประเมิ น ที ่ เ ป็ น อิ ส ระโดย
องค์กรที่เป็นบุคคลที่สาม
• วัตถุประสงค์เพื่อ
• การรับรองระบบ และ/หรือ การตรวจ
ประเมินความสอดคล้องตาม
ข้อกำหนด
• อาจช่ ว ยลดการตรวจประเมิ น โดย
บุคคลที่สอง
10
ผู้ที่มีส่วนเกี่ยวข้องกับการตรวจประเมิน
• หัวหน้าทีมผู้ตรวจประเมิน (Lead Auditor)
• ผู้ตรวจประเมิน (Auditor)
• ผู้รับการตรวจประเมิน (Auditee)
• ผู้บริหารขององค์กร (Top Management)
• ตัวแทนฝ่ายบริหาร (ISMR)
11
กิจกรรมการตรวจประเมิน
การวางแผนการตรวจประเมิน
- แต่งตั้งหัวหน้าทีมผู้ตรวจประเมิน
- กาหนดวัตถุประสงค์, ขอบเขต และเกณฑ์การตรวจประเมิน
- คัดเลือกทีมผู้ตรวจประเมิน
การทบทวนเอกสาร
- ทบทวนระบบบริหารทั้งเอกสาร, บันทึก
และเทียบกับเกณฑ์การตรวจประเมินว่าเพียงพอหรือไม่
การดาเนินการตรวจประเมิน
- การประชุมเปิดการตรวจประเมิน
- สื่อสารในระหว่างการตรวจประเมิน
- เก็บข้อมูลและตรวจพิสูจน์
- บันทึกสิ่งที่พบระหว่างตรวจประเมิน
- สรุปผลการตรวจประเมิน
- ประชุมปิดการตรวจประเมิน
การอนุมัติและแจกจ่ายรายงานผลการตรวจประเมิน
- การเตรียมรายงานผลการตรวจประเมิน
- การอนุมัติและแจกจ่ายรายงานผลการตรวจประเมิน
การเตรียมการตรวจประเมิน ณ สถานที่จริง
- จัดเตรียมแผนการตรวจประเมิน
- มอบหมายงานให้กับทีมผู้ตรวจประเมิน
- จัดเตรียมเอกสารในการตรวจประเมิน
สิ้นสุดการตรวจประเมิน
ติดตามผลการตรวจประเมิน
12
กระบวนการตรวจประเมิน
วางแผน
การตรวจประเมิน
เตรียมการก่อน
การตรวจประเมิน
ดาเนินการ
ตรวจประเมิน
สรุป และ
รายงานผลการ
ตรวจประเมิน
ติดตามการแก้ไข
13
การวางแผนการตรวจประเมิน
1.
2.
3.
4.
5.
แต่งตั้งทีมผู้ตรวจประเมิน
กาหนดวัตถุประสงค์การตรวจประเมิน
กาหนดขอบเขตการตรวจประเมิน
กาหนดเกณฑ์การตรวจประเมิน
คัดเลือกทีมผู้ตรวจประเมิน
14
การวางแผนการตรวจประเมิน
1. แต่งตั้งทีมผู้ตรวจประเมิน ซึ่งประกอบด้วย
• หัวหน้าผู้ตรวจประเมิน (Lead Auditor)
• ผู้ตรวจประเมิน (Auditor)
การแต่ ง ตั้ ง ผู้ ต รวจประเมิ น สามารถแต่ ง ตั้ ง ในแต่ ล ะครั้ ง ที่ มี ก ารตรวจประเมิ น โดยพิ จ ารณา ตาม
ความเหมาะสม
15
การวางแผนการตรวจประเมิน
2. กาหนดวัตถุประสงค์ของการตรวจประเมิน
• เพื่อตรวจประเมินความสอดคล้องของระบบการจัดการ กระบวนการทางาน
ที่หน่วยงานรับผิดชอบอยู่
• เพื่อประเมินความสามารถในการจัดการ กระบวนการทางานให้สอดคล้องกับข้อกาหนด
กฎหมาย และพันธสัญญาทีเ่ กี่ยวข้อง
• เพื่อประเมินประสิทธิผลของการจัดการระบบ ว่าเป็นไปตามวัตถุประสงค์หรือไม่
• เพื่อชี้บ่ง พื้นที่ที่จาเป็นต้องปรับปรุงในระบบการบริหารงาน
16
การวางแผนการตรวจประเมิน
3. กาหนดขอบเขตการตรวจประเมิน
• แบ่งขอบเขตการตรวจประเมิน โดยพิจารณาจาก
กิจกรรม / พื้นที่ / ผลิตภัณฑ์ / กระบวนการ / กองที่จะตรวจประเมิน
• ต้องครอบคลุมในทุก ๆ กิจกรรมที่ส่งผลกระทบต่อระบบฯ
เช่น แผนกเครือข่าย, แผนกงานเครื่องแม่ข่าย, แผนกบุคคล เป็นต้น
17
การวางแผนการตรวจประเมิน
4. กาหนดเกณฑ์การตรวจประเมิน โดยต้องครอบคลุม
• ข้อกาหนดมาตรฐาน ISO 27001:2013
• ระเบียบปฏิบัติความมั่นคงปลอดภัยสาหรับการดาเนินงาน (Security Operation Procedure)
• นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (ICT Security Policy)
• กฎหมาย ระเบียบ ข้อบังคับ พันธสัญญา ของกิจกรรมขององค์กรนั้น
• เกณฑ์อื่น ๆ ที่เกี่ยวข้อง
18
การวางแผนการตรวจประเมิน
5. คัดเลือกทีมผู้ตรวจประเมิน (Audit Team)
คุณสมบัติของผู้ตรวจสอบทีร่ ะบุใน ISO 27001
• ได้รับการฝึกอบรมหลักสูตรการตรวจสอบภายในหรือหลักสูตรหัวหน้าผูต้ รวจประเมิน
• มีความเป็นอิสระจากหน่วยงานที่ไปตรวจสอบ
• เป็นผู้ที่ได้รับมอบหมายจากองค์กร
19
ความสามารถของผู้ตรวจประเมิน
1. ความรู้และทักษะ (Knowledge and Skills)
2. คุณลักษณะส่วนบุคคล (Personal Attributes)
3. การศึกษา, ประสบการณ์การทางาน, การฝึกอบรมและประสบการณ์ในการตรวจประเมิน
(Education, Work Experience, Audit Training and Audit Experience)
20
ความสามารถของผู้ตรวจประเมิน
1. ความรู้และทักษะ (Knowledge and Skills)
ความรู้ที่ผู้ตรวจประเมินต้องมี ได้แก่
• หลักการ ระเบียบปฏิบัติ ของการตรวจประเมิน
• ข้อกาหนดของมาตรฐานระบบ ISO27001:2013
• ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ
• ความรู้ในกระบวนการของขอบเขตที่ตรวจประเมิน
• ความรู้ด้านการบริหารจัดการความเสี่ยง
• ข้อกาหนดของลูกค้า กฎหมายและมาตรฐานอื่น ๆ ที่เกี่ยวข้อง
21
ความสามารถของผู้ตรวจประเมิน
1. ความรู้และทักษะ (Knowledge and Skills)
ทักษะความชานาญ ได้แก่
•
•
•
•
•
•
•
•
การสื่อสาร
การบริหารงาน
การตั้งคาถาม
เทคนิคการตรวจประเมิน
การวิเคราะห์ผลการตรวจประเมิน
การจัดทารายงาน
ภูมิหลังด้านเทคนิค
ทักษะทางเทคนิคเฉพาะด้าน เช่น Network, Facility, System
22
ความสามารถของผู้ตรวจประเมิน
2. คุณลักษณะส่วนบุคคล (Personal Attributes)
✓ จริงใจ
✓ ซื่อสัตย์
✓ อดทน
✓ มองโลกในแง่ดี
✓ ใจกว้าง
✓ สุภาพ
✓ ช่างสังเกต
✓
✓
✓
✓
✓
✓
✓
คิดอย่างเป็นระบบ
ประนีประนอม
มีความรับผิดชอบ
เป็นผู้ฟังที่ดี
กระตือรือร้น
มีความเป็นกลาง
มีเหตุผล
23
ความสามารถของผู้ตรวจประเมิน
3. การศึกษา, ประสบการณ์การทางาน, การฝึกอบรมและประสบการณ์ในการตรวจประเมิน
การพัฒนาความสามารถของผู้ตรวจประเมินสามารถทาได้หลายวิธี ดังนี้
• การฝึกอบรม
• การศึกษาส่วนบุคคล
• การสอนงานแบบโค้ช (Coaching)
• การประชุม สัมมนา
24
ความสามารถของผู้ตรวจประเมิน
3. การศึกษา, ประสบการณ์การทางาน, การฝึกอบรมและประสบการณ์ในการตรวจประเมิน
การประเมินความสามารถของผู้ตรวจประเมิน มีขั้นตอนดังนี้
• กาหนดคุณลักษณะส่วนบุคคล ความรู้และทักษะ
• กาหนดเกณฑ์การตรวจประเมิน
• คัดเลือกวิธีการประเมิน
• ดาเนินการประเมิน
25
กาหนดตารางการตรวจประเมินประจาปี
การกาหนดความถี่ของการตรวจประเมินประจาปี (กาหนดการตรวจประเมินภายในประจาปี [Annual
Audit Schedule] ) พิจารณาจากสิ่งเหล่านี้
❑ ความสาคัญของกิจกรรมที่ตรวจประเมินที่มีต่อระบบบริหารคุณภาพ
❑ ปัญหาที่เกิดขึ้นจากกิจกรรมนั้น ๆ เช่น ข้อร้องเรียนภายนอก, ภายใน
❑ ผลการประเมินความเสีย่ ง
❑ สถิติการเหตุการณ์ละเมิดความมั่นคงปลอดภัยสารสนเทศ
โดยปกติแล้ว ควรกาหนดให้มีการตรวจประเมินแต่ละกิจกรรม ในช่วงเวลาเดียวกัน เช่น ในเดือน
เดียวกัน เพื่อให้สามารถติดตามกิจกรรมการตรวจประเมินได้ง่าย
อ้างอิง: [Annual Audit Schedule]
26
กระบวนการตรวจประเมิน
วางแผน
การตรวจประเมิน
เตรียมการก่อน
การตรวจประเมิน
ดาเนิน
การตรวจประเมิน
สรุป และ
รายงานผลการ
ตรวจประเมิน
ติดตามการแก้ไข
27
เตรียมการก่อนการตรวจประเมิน
1. ทบทวนเอกสารก่อนการตรวจประเมิน
2. จัดทากาหนดการตรวจประเมิน
3. เตรียมการก่อนการตรวจประเมิน
4. ประชุมทีมผู้ตรวจประเมิน
5. จัดทารายการตรวจประเมิน (Checklist)
5.1 ประโยชน์จากการจัดทารายการตรวจประเมิน (Check List)
5.2 คาถามที่ใช้ในรายการตรวจประเมิน
28
เตรียมการก่อนการตรวจประเมิน
1. เอกสารที่จาเป็นต้องทบทวนก่อนการตรวจประเมิน
• เอกสารการทางาน เช่น ระเบียบปฏิบัติ คู่มือการทางาน เอกสารสนับสนุน
• บันทึกแสดงผลการทางาน
• รายงานผลการตรวจประเมินครั้งที่ผ่านมา
• บัญชีทรัพย์สินและผลการประเมินความเสีย่ ง
• รายการข้อกาหนดมาตฐาน (SOA)
การทบทวนนี้เพือ่ ค้นหาว่าเอกสารมีความเพียงพอและพร้อมที่จะรับการตรวจประเมินหรือไม่
29
เตรียมการก่อนการตรวจประเมิน
2. การจัดทากาหนดการตรวจประเมิน
ตารางเวลาจะระบุว่าในช่วงเวลาใดบ้างที่จะมีการตรวจประเมิน และหัวข้อใดบ้างที่จะถูกตรวจประเมิน
ตัวอย่างแผนการตรวจประเมิน (อ้างอิง: [Internal Audit Plan])
• วัตถุประสงค์การตรวจประเมิน
• มาตรฐานที่ใช้ในการตรวจประเมิน (มาตรฐาน ISO 27001 รวมถึงระเบียบปฏิบัติ กฎหมายละข้อกาหนดที่
เกี่ยวข้อง)
• ขอบเขตการตรวจประเมิน
• ระยะเวลา วันที่ และสถานที่ ของการตรวจประเมิน
• บทบาทผู้ตรวจประเมินแต่ละคน
• ตัวแทนผู้รับการตรวจประเมินในแต่ละกิจกรรม
30
การจัดทากาหนดการตรวจประเมิน
31
การจัดทากาหนดการตรวจประเมิน
32
The first question…
What is information?
สารสนเทศ (Information)
Desktop Monitor
Internet
SERVER
Mobile Device
ประเภทของข้อมูลสารสนเทศต่าง ๆ
Document
FAX
Printer
CD, DVD, Flash-drive
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
วงจรชีวิตสารสนเทศ (Information life Cycle)
Create
Handling
Dispose
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
What is information security?
• Confidentiality
• the property that information is not made available or disclosed to unauthorized
individuals, entities, or processes.
• Integrity
• the property of safeguarding the accuracy and completeness of assets.
• Availability
• the property of being accessible and usable upon demand by an authorized entity.
โครงสร้างของมาตรฐาน ISO/IEC 27001:2013
โครงสร้างของมาตรฐาน ISO/IEC 27001:2013
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
4 บริบทขององค์กร (Context of the Organization)
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
4 บริบทขององค์กร (Context of the Organization)
4.3 Determining the scope of the information security management system
ปัจจัยที่ใช้ในการพิจารณาการกาหนดขอบเขตของ ISMS
➢ ประเด็นภายในและภายนอกองค์กร
➢ ความต้องการและความคาดหวังของผู้ที่เกี่ยวข้อง
➢ การเชื่อมโยงกิจกรรมต่าง ๆ ที่อาจดาเนินการโดยองค์กรเอง
หรือโดยองค์กรอื่น ๆ
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
4 บริบทขององค์กร (Context of the Organization)
4.4 Information security management system
องค์กรต้องจัดทำและดำเนินกำรดูแลรักษำและปรับปรุงอย่ำงต่อเนื่องระบบกำรจัดกำรควำมปลอดภัยของข้อมูลให้
สอดคล้องกับควำมต้องกำรของมำตรฐำนสำกลฉบับนี้
องค์กรต้องกาหนด ลงมือปฎิบัติ
บารุงรักษา และปรับปรุงอย่างต่อเนื่อง
ต่อระบบบริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศ ที่สอดคล้องกับ
ข้อกาหนดมาตรฐานฉบับนี้
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
5 ภาวะผู้นา (Leadership)
5.1 Leadership and commitment
ผู้บริหารระดับสูงจะต้องแสดงถึงความเป็นผูน้ าและความมุ่งมั่นใน
เรื่องข้อมูลระบบการจัดการความปลอดภัย
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
5 ภาวะผู้นา (Leadership)
5.2 Policy
Top management shall establish an information security policy that :
• เหมำะสมกับวัตถุประสงค์ขององค์กร
• รวมถึงวัตถุประสงค์ด้ำนควำมมั่นคงสำรสนเทศ หรือกำหนดกรอบในกำรกำหนด
วัตถุประสงค์ด้ำนควำมมั่นคงสำรสนเทศ
• รวมถึงควำมมุ่งมั่นที่จะตอบสนองควำมต้องกำรบังคับที่เกี่ยวข้องกับกำรรักษำควำม
ปลอดภัยข้อมูล และ
• รวมถึงควำมมุ่งมั่นในกำรปรับปรุงระบบกำรจัดกำรควำมมั่นคงข้อมูลอย่ำงต่อเนื่อง
นโยบำยด้ำนควำมมั่นคงสำรสนเทศจะต้อง
• ให้เป็นข้อมูลที่เป็นเอกสำร
• ได้รับกำรสื่อสำรภำยในองค์กร และ
• ให้แก่บุคคลที่สนใจตำมควำมเหมำะสม
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
5 ภาวะผู้นา (Leadership)
5.3 Organizational roles, responsibilities and authorities
ผู้บริหารระดับสูงจะต้องตรวจสอบให้แน่ใจว่ามีการมอบหมายและสื่อสารความรับผิดชอบและอำนาจ
หน้าที่เกี่ยวกับบทบาทที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูล
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
6 การวางแผน (Planning)
6.1 Actions to address risks and opportunities
6.1.1 General
6.1.2 Information security risk assessment
6.1.3 Information security risk treatment
Plan for :
• กำรดำเนินกำรเพื่อแก้ไขปัญหำควำมเสี่ยงและโอกำส
ต่ำง ๆ
• รวมและใช้กำรดำเนินกำรในกระบวนกำร ISMS
• ประเมินประสิทธิผลของกำรกระทำ
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
6 การวางแผน (Planning)
6.2 Information security objectives and planning to achieve them
องค์กรต้องจัดทำวัตถุประสงค์ด้ำนควำมมั่นคงสำรสนเทศไว้ในหน้ำที่และระดับที่เกี่ยวข้อง
วัตถุประสงค์ด้ำนควำมมั่นคงสำรสนเทศจะต้องสอดคล้องกับนโยบำยควำมมั่นคงสำรสนเทศ
• สำมำรถวัดได้ (ถ้ำเป็นไปได้)
• คำนึงถึงข้อกำหนดด้ำนควำมปลอดภัยข้อมูลที่จำเป็นและผลจำกกำรประเมินควำมเสี่ยงและกำรรักษำ
ควำมเสี่ยง
• สื่อสำรและได้รับกำรปรับปรุงตำมควำมเหมำะสม
• องค์กรต้องเก็บรักษำข้อมูลที่เป็นลำยลักษณ์อักษรเกี่ยวกับวัตถุประสงค์ด้ำนควำมมั่นคงสำรสนเทศ
เมื่อวำงแผนจะบรรลุวัตถุประสงค์ด้ำนควำมมั่นคงสำรสนเทศ องค์กรต้องกำหนด :
• สิ่งที่จะทำ
• ทรัพยำกรที่จะต้องใช้
• ใครจะเป็นผู้รับผิดชอบ
• เมื่อเสร็จสิ้น และ
• ผลกำรประเมินจะเป็นอย่ำงไร
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
7 การสนับสนุน (Support)
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
7 การสนับสนุน (Support)
7.5 Documented information
General ระบบกำรจัดกำรควำมปลอดภัยข้อมูลขององค์กรจะต้องรวมถึง :
- ข้อมูลที่ได้รับกำรรับรองตำมมำตรฐำนสำกลฉบับนี้
- และข้อมูลที่ได้รับกำรจัดทำขึ้นตำมที่องค์กำรกำหนดไว้เพื่อให้เกิดประสิทธิผลระบบกำรจัดกำรควำมปลอดภัยข้อมูล
Creating and updating เมื่อสร้ำงและปรับปรุงข้อมูลที่มีกำรจัดทำเป็นเอกสำรองค์กรจะต้องมั่นใจว่ำเหมำะสม :
- กำรระบุและคำอธิบำย (เช่นชื่อเรื่องวันที่ผู้แต่งหรือหมำยเลขอ้ำงอิง)
- รูปแบบ (เช่นภำษำเวอร์ชันซอฟท์แวร์กรำฟิก) และสื่อ (เช่นกระดำษอิเล็กทรอนิกส์) และ
- ทบทวนและอนุมัติควำมเหมำะสมและควำมเพียงพอ
Control of documented information ข้อมูลที่ได้รับกำรจัดทำขึ้นโดยระบบกำรจัดกำรควำมมั่นคง
ข้อมูลและตำมมำตรฐำนสำกลฉบับนี้จะต้องได้รับกำรควบคุมเพื่อให้มั่นใจว่ำ :
- สำมำรถใช้งำนง่ำยและสะดวก พร้อมทั้งมีกำรป้องกันอย่ำงเพียงพอ
- กำรจัดเก็บและกำรควบคุมกำรเปลี่ยนแปลง
- สิทธิ์ในกำรเข้ำถึง ลำดับชั้นเอกสำรต่ำง ๆ ร่วมทั้งกำรแชร์ กำรกระจำยกำรเข้ำถึง
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
8 การดาเนินการ (Operation)
• วางแผนและควบคุมกระบวนการเพื่อ
ตอบสนองความต้องการด้านความ
ปลอดภัย
• ใช้แผนเพื่อให้บรรลุวัตถุประสงค์ด้าน
ความปลอดภัย
• เก็บข้อมูลไว้เป็นหลักฐานในการ
ดาเนินการ
• ควบคุมการเปลี่ยนแปลง
• ระบุและควบคุมกระบวนการภายนอก
8.1 Operational
Planning and
Control (Plan
and control the
processes)
8.2 Information
Security Risk
Assessment
(Perform RA)
• ทาการประเมินความเสี่ยงในช่วงเวลาที่วางแผนไว้
หรือเมื่อมีการเปลี่ยนแปลงที่สาคัญ
• เก็บรักษาข้อมูลที่ได้รับการจัดทาเป็นเอกสารไว้ใน
ผลลัพธ์ Risk assessment
8.3 Information Security
Risk Treatment
(Implement RTP)
• ใช้แผนการบริหารความเสี่ยง
• เก็บข้อมูลที่เป็นเอกสารของ RTP
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
9 การประเมินประสิทธิภาพ (Performance Evaluation)
9.1 Monitoring, measurement, analysis and evaluation (กำรเฝ้ำติดตำม ตรวจวัด วิเครำะห์และประเมินผล)
9.2 Internal audit (กำรตรวจประเมินภำยในองค์กร)
9.3 Management review (กำรทบทวนของฝ่ำยบริหำร เพื่อตรวจประเมินผลที่ได้ทำ)
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
10 การปรับปรุง (Improvement)
10.1 Nonconformity and corrective action
10.2 Continual improvement
Nonconformity & Corrective action
• ตอบสนองต่อควำมไม่สอดคล้องกัน
• ประเมินควำมจำเป็นในกำรขจัด “สำเหตุ” ของ
ควำมไม่สอดคล้องกัน
• ดำเนินกำรปฏิบัติที่จำเป็น
• ทบทวนประสิทธิผลของกำรปฏิบัติกำรแก้ไข
• ทำกำรเปลี่ยนแปลง ISMS ถ้ำจำเป็น
• ปรับปรุงควำมเหมำะสมควำมเพียงพอและ
ประสิทธิภำพของ ISMS อย่ำงต่อเนื่อง
• ปรับปรุงวัตถุประสงค์และแผนกำรรักษำควำม
ปลอดภัยสำหรับปีหน้ำ (ตำมข้อ 6.2)
Continual improvement
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
กรอบการบริหารจัดการ
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
Annex A
Annex A (normative) Reference control objectives and controls
list.
Annex A
A.5 Information Security Policies
A.6 Organization of Information Security
A.7 Human Resource Security
A.8 Asset Management
A.9 Access Control
A.10 Cryptography
A.13 Communications Security
A.11 Physical and Environment Security
A.12 Operations Security
A.14 System Acquisition, development and Maintenance
A.15 Supplier relationships
A.16 Information Security Incident Management
A.17 Information Security Aspects of Business Continuity Management
A.18 Compliance
Asian Intelligent Information Technology (AIIT) provides learning and consultancy services in Information technology security and process improvement. We are strongly
committed to providing quality services and have instructor and consulting team with a high degree of expertise and an average experience of more than 15 year
A.5.1
A.5
Management direction for information security
วัตถุประสงค์
เพื่อกาหนดทิศทางและให้การสนับสนุนด้านความมัน่ คงปลอดภัยสาหรับสารสนเทศตามข้อกาหนดทางธุรกิจกฎหมายและ
ระเบียบข้อบังคับที่เกี่ยวข้อง
A.5.1.1
Information Security
A.5.1.2
Policies
Policies for information security
Review of the policies for information security
A.6.1
A.6
Organization of
information security
Internal Organization
วัตถุประสงค์
เพื่อจัดตั้งโครงร่างการบริหารจัดการในการริเริ่มและควบคุมการนาไปปฏิบัติและการดาเนินงานด้านความมั่นคง
ปลอดภัยสาหรับสารสนเทศภายในองค์กร
A.6.1.1
Information security roles and responsibilities
A.6.1.2
Segregation of duties
A.6.1.3
Contact with authorities
A.6.1.4
Contact with special interest groups
A.6.1.5
Information security in project management
A.6.2
Mobile devices and teleworking
วัตถุประสงค์
เพื่อให้มั่นใจถึงความมั่นคงปลอดภัยของการปฏิบัติงานจากระยะไกลและการใช้งานอุปกรณ์พกพา
A.6.2.1
Mobile device policy
A.6.2.2
Teleworking
A.7.1
A.7
Human resources
security
Prior to employment
วัตถุประสงค์
เพื่อให้มั่นใจว่าพนักงาน และผู้ที่องค์กรทาสัญญาจ้าง เข้าใจความรับผิดชอบของตน และเหมาะสมต่อบทบาท
ทีไ่ ด้รับการพิจารณา
A.7.1.1
Screening
A.7.1.2
Terms and conditions of employment
A.7.2
During employment
วัตถุประสงค์
เพื่ อ ให้ มั่ น ใจว่ า พนั ก งานและผู้ ที่ อ งค์ ก รท าสั ญ ญาจ้ า งตระหนั ก ถึ ง และปฏิ บั ติ ต ามหน้ า ที่ ค วาม รั บ ผิ ด ชอบ
ด้านความมั่นคงปลอดภัยสาหรับสารสนเทศของตน
A.7.2.1
Management responsibilities
A.7.2.2
Information security awareness, education and training
A.7.2.3
Disciplinary process
A.7.3
Termination and change of employment
วัตถุประสงค์
เพื่อป้องกันผลประโยชน์ขององค์กรซึ่งเป็นส่วนหนึ่งของกระบวนการเปลี่ยนแปลงหรือสิ้นสภาพการว่าจ้าง
A.7.3.1
Termination or change of employment responsibilities
A.8.1
A.8
Asset management
Responsibility for assets
วัตถุประสงค์
เพื่อระบุทรัพย์สินขององค์กรและกาหนดหน้าที่ความรับผิดชอบในการป้องกันทรัพย์สินอย่างเหมาะสม
A.8.1.1
Inventory of assets
A.8.1.2
Ownership of assets
A.8.1.3
Acceptable use of assets
A.8.1.4
Return of assets
A.8.2
Information classification
วัตถุประสงค์
เพื่อให้มั่นใจได้ว่าสารสนเทศได้รับระดับของการป้องกันอย่างเหมาะสมตามความสาคัญที่มีต่อองค์กร
A.8.2.1
Classification of information
A.8.2.2
Labelling of information
A.8.2.3
Handling of assets
A.8.3
A.8
Asset management
Media handling
วัตถุประสงค์
เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลง การกาจัด หรือการทาลายข้อมูลที่จัดเก็บบนสื่อบันทึกโดยไม่ได้
รับอนุญาต
A.8.3.1
Management of removable media
A.8.3.2
Disposal of media
A.8.3.3
Physical media transfer
A.9.1
Business requirements for access control
วัตถุประสงค์
เพื่อจากัดการเข้าถึงสารสนเทศและอุปกรณ์ประมวลผลข้อมูล
A.9
A.9.1.1
Access control policy
A.9.1.2
Access to networks and network services
A.9.2
User access management
Access control
วัตถุประสงค์
เพื่อให้แน่ใจว่าผู้ที่ได้รับอนุญาตสามารถเข้าถึง และเพื่อป้องกันผู้ไม่ได้รับอนุญาตในการเข้าถึงระบบและบริการ
A.9.2.1
User registration and de-registration
A.9.2.2
User access provisioning
A.9.2.3
Management of privileged access rights
A.9.2.4
Management of secret authentication information of users
A.9.2.5
Review of user access rights
A.9.2.6
Removal or adjustment of access rights
A.9.3
User responsibilities
วัตถุประสงค์
เพื่อทาให้ผู้ปฏิบัติงานมีความรับผิดชอบในการปกป้องข้อมูลที่ใช้พิสูจน์ตัวตน
A.9
Access control
A.9.3.1
Use of secret authentication information
A.9.4
System and application access control
วัตถุประสงค์
เพื่อป้องกันการเข้าถึงระบบและโปรแกรมประยุกต์ โดยผู้ไม่ได้รับอนุญาต
A.9.4.1
Information access restriction
A.9.4.2
Secure log-on procedures
A.9.4.3
Password management system
A.9.4.4
Use of privileged utility programs
A.9.4.5
Access control to program source code
A.10.1
A.10
Cryptography
Cryptographic controls
วัตถุประสงค์
เพื่อให้มั่นใจได้ว่าการใช้งานการเข้ารหัสข้อมูลเป็นไปอย่างเหมาะสมและมีประสิทธิผลเพื่อป้องกันความลับ
การพิสูจน์ตัวตน และ/หรือ ความถูกต้องครบถ้วนของสารสนเทศ
A.10.1.1
Policy on the use of cryptographic controls
A.10.1.2
Key management
A.11.1
A.11
Physical and
environmental
security
Secure areas
วัตถุประสงค์
เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต ความเสียหาย การแทรกแซงต่อสารสนเทศและอุปกรณ์
ประมวลผลข้อมูลขององค์กร
A.11.1.1
Physical security perimeter
A.11.1.2
Physical entry controls
A.11.1.3
Securing offices, rooms and facilities
A.11.1.4
Protecting against external and environmental threats
A.11.1.5
Working in secure areas
A.11.1.6
Delivery and loading areas
A.11.2
A.11
Physical and
environmental
security
Equipment
วัตถุประสงค์
เพื่อป้องกันการสูญหาย ความเสียหาย การขโมยหรือทาให้เป็นอันตรายต่อทรัพย์สินและทาให้เกิดการหยุดชะงัก
ในการดาเนินงานขององค์กร
A.11.2.1
Equipment siting and protection
A.11.2.2
Supporting utilities
A.11.2.3
Cabling security
A.11.2.4
Equipment maintenance
A.11.2.5
Removal of assets
A.11.2.6
Security of equipment and assets off-premises
A.11.2.7
Secure disposal or reuse of equipment
A.11.2.8
Unattended user equipment
A.11.2.9
Clear desk and clear screen policy
A.12.1
Operational procedures and responsibilities
วัตถุประสงค์
เพื่อให้มั่นใจว่าการปฏิบัติงานของอุปกรณ์ประมวลผลข้อมูลมีความถูกต้องและมั่นคงปลอดภัย
A.12
A.12.1.1
Documented operating procedures
A.12.1.2
Change management
A.12.1.3
Capacity management
Operations
security
A.12.1.4
Separation of development, testing and operational environments
Protection from malware
A.12.2
วัตถุประสงค์
เพื่อให้มั่นใจว่าสารสนเทศและอุปกรณ์ประมวลผลข้อมูลได้รับการป้องกันจากโปรแกรมไม่พึงประสงค์
A.12.2.1
A.12.3
Controls against malware
Backup
วัตถุประสงค์
เพื่อป้องกันการสูญหาย / สูญเสียข้อมูล
A.12.3.1
Information backup
A.12.4
Logging and monitoring
วัตถุประสงค์
เพื่อบันทึกเหตุการณ์และการสร้างหลักฐาน
A.12
A.12.4.1
Event logging
A.12.4.2
Protection of log information
A.12.4.3
Administrator and operator logs
Operations
security
A.12.4.4
Clock synchronisation
Control of operational software
A.12.5
วัตถุประสงค์
เพื่อให้มั่นใจว่าระบบปฏิบัติการมีความถูกต้องครบถ้วน
A.12.5.1
A.12.6
Installation of software on operational systems
Technical vulnerability management
วัตถุประสงค์
เพื่อป้องกันการแสวงหาประโยชน์จากช่องโหว่ทางเทคนิค
A.12.6.1
Management of technical vulnerabilities
A.12.6.2
Restrictions on software installation
Information systems audit considerations
A.12.7
วัตถุประสงค์
เพื่อลดผลกระทบจากกิจกรรมการตรวจประเมินระบบการดาเนินงาน
A.12.7.1
Information systems audit controls
A.13.1
A.13
Communications
security
Network security management
วัตถุประสงค์
เพื่อให้มั่นใจถึงการป้องกันสารสนเทศบนเครือข่ายและอุปกรณ์ประมวลผลทีส่ นับสนุนเครือข่าย
A.13.1.1
Network controls
A.13.1.2
Security of network services
A.13.1.3
Segregation in networks
A.13.2
Information transfer
วัตถุประสงค์
เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศที่ถูกถ่ายโอนภายในองค์กร และที่ถ่ายโอนไปยังหน่วยงานภายนอก
ให้คงไว ้
A.13.2.1
Information transfer policies and procedures
A.13.2.2
Agreements on information transfer
A.13.2.3
Electronic messaging
A.13.2.4
Confidentiality or nondisclosure agreements
A.14.1
A.14
System acquisition,
development and
maintenance
Security requirements of information systems
วัตถุประสงค์
เพื่อให้มั่นใจว่าความมั่นคงปลอดภัยสาหรับสารสนเทศเป็นส่วนที่ได้ผนวกรวมเข้า ไปในระบบสารสนเทศตลอดวงจรชีวิต
และยังรวมถึงข้อกาหนดของระบบสารสนเทศที่ได้ให้บริการผ่านเครือข่ายสาธารณะ
A.14.1.1
Information security requirements analysis and specification
A.14.1.2
Securing application services on public networks
A.14.1.3
Protecting application services transactions
A.14.2
Security in development and support processes
วัตถุประสงค์
เพื่อให้มั่นใจว่าความมั่นคงปลอดภัยสาหรับสารสนเทศได้ถกู ออกแบบและนาไปปฏิบตั ิตลอดวงจรชีวิต ของการพัฒนาระบบ
สารสนเทศ
A.14.2.1
Secure development policy
A.14.2.2
System change control procedures
A.14.2.3
Technical review of applications after operating platform changes
A.14.2.4
Restrictions on changes to software packages
A.14.2.5
Secure system engineering principles
A.14.2.6
Secure development environment
A.14.2.7
Outsourced development
A.14.2.8
System security testing
A.14.2.9
System acceptance testing
A.14
A.14.3
System acquisition,
development and
maintenance
A.14.3.1
Test data
วัตถุประสงค์
เพื่อให้มั่นใจว่าข้อมูลที่ใช้ในการทดสอบได้รับการปกป้อง
Protection of test data
A.15.1
A.15
Supplier
relationships
Information security in supplier relationships
วัตถุประสงค์
เพื่อให้มั่นใจว่าทรัพย์สินขององค์กรที่สามารถเข้าถึงได้โดยหน่วยงานภายนอกได้รับการป้องกัน
A.15.1.1
Information security policy for supplier relationships
A.15.1.2
Addressing security within supplier agreements
A.15.1.3
Information and communication technology supply chain
A.15.2
Supplier service delivery management
วัตถุประสงค์
เพื่อรักษาระดับของความมั่นคงปลอดภัยสาหรับสารสนเทศ และระดับของการส่งมอบบริการที่เห็นชอบร่วมกัน
ให้คงไว้ตามข้อตกลงกับผู้ขาย
A.15.2.1
Monitoring and review of supplier services
A.15.2.2
Managing changes to supplier services
A.16.1
A.16
Information
security incident
management
Management of information security incidents and improvements
วัตถุประสงค์
เพื่อมั่นใจถึงวิธีการที่สม่าเสมอและมีประสิทธิภาพในการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสาหรับ
สารสนเทศ รวมถึงการสื่อสารเกี่ยวกับจุดอ่อนและสถานการณ์ด้านความมั่นคงปลอดภัย
A.16.1.1
Responsibilities and procedures
A.16.1.2
Reporting information security events
A.16.1.3
Reporting information security weaknesses
A.16.1.4
Assessment of and decision on information security events
A.16.1.5
Response to information security incidents
A.16.1.6
Learning from information security incidents
A.16.1.7
Collection of evidence
A.17
Information
security aspects of
business continuity
management
A.17.1
Information security continuity
วัตถุประสงค์
ความต่อเนื่องด้านความมั่นคงปลอดภัยสาหรับสารสนเทศต้องถูกฝังลงไปในระบบบริหารจัดการความต่อเนื่อง
ทางธุรกิจขององค์กร
A.17.1.1
Planning information security continuity
A.17.1.2
Implementing information security continuity
A.17.1.3
Verify, review and evaluate information security continuity
A.17.2
Redundancies
วัตถุประสงค์
เพื่อให้มั่นใจว่าอุปกรณ์ประมวลผลข้อมูลมีความพร้อมใช้งาน
A.17.2.1
Availability of information processing facilities
A.18.1
A.18
Compliance
Compliance with legal and contractual requirements
วัตถุประสงค์
เพื่อหลีกเลี่ยงการละเมิดกฎหมาย ระเบียบข้อบังคับ ข้อกาหนด หรือข้อผูกพันตามสัญญาที่เกี่ยวข้องกับ
ความมั่นคงปลอดภัยสาหรับสารสนเทศ และข้อกาหนดด้านความมั่นคงปลอดภัยใด ๆ ก็ตาม
A.18.1.1
Identification of applicable legislation and contractual requirements
A.18.1.2
Intellectual property rights
A.18.1.3
Protection of records
A.18.1.4
Privacy and protection of personally identifiable information
A.18.1.5
Regulation of cryptographic controls
A.18.2
Information security reviews
วัตถุประสงค์
เพื่อให้มั่นใจว่าความมั่นคงปลอดภัยสาหรับสารสนเทศมีการนาไปปฏิบัติและมีการดาเนินงานตามนโยบายและ
ขั้นตอนปฏิบัติงานขององค์กร
A.18.2.1
Independent review of information security
A.18.2.2
Compliance with security policies and standards
A.18.2.3
Technical compliance review
Workshop 1 - Internal Audit Plan
1. ให้ผู้เข้าอบรมเขียนรายการตรวจประเมิน (Check List) ในการตรวจ Equipment ในห้อง
Datacenter (11.2) เพื่อใช้เป็นเครื่องมือในการตรวจประเมิน
74
การเตรียมการก่อนการตรวจประเมิน
3. การเตรียมการก่อนการตรวจประเมิน
• ผู้ตรวจประเมินควรทาความเข้าใจในขอบเขตการตรวจประเมิน และหน้าที่ที่ได้รับมอบหมาย
• ผู้ตรวจประเมินควรศึกษาระเบียบปฏิบัติเรื่องการตรวจประเมินภายในขององค์กรก่อน
• ผู้ตรวจประเมินแต่ละคนรวบรวมเอกสารที่เกี่ยวข้องกับหน่วยงานที่จะไปตรวจประเมิน
• ผู้ตรวจประเมินดาเนินการวิเคราะห์กระบวนการ และเตรียมรายการตรวจประเมิน (Check List)
75
การเตรียมการก่อนการตรวจประเมิน
4. การประชุมทีมผู้ตรวจประเมิน
สร้างความเข้าใจในขัน้ ตอนการทางานของกิจกรรมที่จะตรวจประเมิน
• ปิดประเด็นปัญหาต่าง ๆ ที่ผู้ตรวจประเมินเข้าใจไม่ตรงกัน
• แบ่งหน้าที่ความรับผิดชอบในการตรวจประเมิน
• นัดหมายยืนยันตารางเวลาการตรวจประเมิน
76
การเตรียมการก่อนการตรวจประเมิน
5. การจัดทารายการตรวจประเมิน (Checklist)
รายการตรวจประเมิน เป็นการจัดทาหัวข้อคาถามที่ Auditor ต้องการไปถาม Auditee โดยที่
สามารถตั้งคาถามได้จากเอกสาร หรือข้อกาหนดที่เกี่ยวข้อง รวมไปถึงประเด็นปัญหาอื่น ๆ ที่สงสัย
หรือไม่เข้าใจ สิ่งที่ Auditor ควรทราบในการตั้งคาถามแต่ละประเด็น คือ
• คาถามนั้นใช้ตรวจประเมินในเรื่องอะไร ข้อกาหนดไหน
• คาถามนั้นต้องถามใคร กองไหน
• หลักฐาน / คาตอบที่ต้องการคืออะไร ถึงจะปิดประเด็นได้
77
การเตรียมการก่อนการตรวจประเมิน
5.1 ประโยชน์จากการจัดทารายการตรวจประเมิน (Check List)
• สามารถตรวจประเมินได้ครอบคลุมขอบเขตที่กาหนดไว้
• ไม่หลงลืมประเด็นต่าง ๆ ที่ต้องตรวจประเมิน
• ใช้ในการจดบันทึกผลที่ได้จากการตรวจประเมิน
• ใช้รวบรวมข้อมูลเพื่อจัดทารายงานหลังจากตรวจประเมินแล้ว
• เป็นแหล่งข้อมูลสาหรับการตรวจประเมินในครั้งถัดไป
78
เตรียมการก่อนการตรวจประเมิน
5.2 คาถามที่ใช้ในรายการตรวจประเมิน (Check List)
• มักใช้คาถามปิด ในการจัดทารายการตรวจประเมิน
• ส่วนคาถามเปิดและคาถามประเภทอื่น ๆ จะใช้ในการสัมภาษณ์ขณะตรวจประเมิน
• คาขึ้นต้นที่ใช้ในการตั้งคาถาม เช่น ใคร, ทาอะไร, ที่ไหน, เมื่อใด, อย่างไร, เพื่ออะไร (ทาไม),
สมมติว่าเกิดเหตุการณ์นั้น...ทาอย่างไร, ขอดูเอกสาร..., กรุณาอธิบาย... เป็นต้น
79
กระบวนการตรวจประเมิน
วางแผน
การตรวจประเมิน
เตรียมการก่อน
การตรวจประเมิน
ดาเนิน
การตรวจประเมิน
สรุป และ
รายงานผลการ
ตรวจประเมิน
ติดตามการแก้ไข
80
ดาเนินการตรวจประเมิน
1. การประชุมก่อนเริ่มการตรวจประเมิน (Opening Meeting)
2. การตรวจประเมิน (Auditing)
3. สิ่งที่พบจากการตรวจประเมิน (Audit findings)
4. การตัดสินผลการตรวจประเมิน
5. รายงานสรุปผลการตรวจประเมินเบื้องต้น และการปิดประชุม (Closing Meeting)
81
ดาเนินการตรวจประเมิน
1. การประชุมก่อนเริ่มตรวจประเมิน (Opening Meeting)
• แนะนาสมาชิกทีมผู้ตรวจประเมิน
• ชี้แจงวัตถุประสงค์และขอบเขตของการตรวจประเมิน
• แจ้งและยืนยันแผนการตรวจประเมิน
• อธิบายวิธีการตรวจประเมินและสถานทีท่ ี่จะเข้าไปตรวจประเมิน
• ตอบข้อสงสัยต่าง ๆ (ถ้ามี)
• กาหนดเวลาที่จะปิดประชุม (Closing Meeting)
82
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
ประกอบด้วย 3 ส่วนหลัก คือ
2.1 การสัมภาษณ์
2.2 การตรวจสอบเอกสาร
2.3 การสังเกตการปฏิบัติงาน
83
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
• ใช้เทคนิคการตั้งคาถาม เพื่อให้ได้ข้อมูลตามที่ต้องการ
• พูดจาสุภาพ ไม่ก้าวร้าว ไม่จับผิด
• เป็นผู้ฟังที่ดี
• ใช้ภาษาที่เข้าใจง่าย
• ไม่หลงประเด็น
84
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน
• คาถามปิด (Closed Question)
• คาถามเปิด (Open Question)
• คาถามพิสูจน์ (Probing Question)
• คาถามโต้แย้ง (Challenging Question)
• คาถามสะท้อน (Reflecting Question)
• คาถามนา (Leading Question)
• คาถามสรุป (Summarizing Question)
85
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามปิด
มักใช้เมื่อ Auditor ต้องการปิดประเด็นคาตอบเพียงสั้น ๆ ว่า ใช่ / ไม่ใช่, ถูก / ผิด เช่น
• เมื่อคุณแจกจ่ายเอกสาร มีการให้เซ็นรับในใบแจกจ่ายเอกสารด้วยใช่หรือไม่
• มาตรฐานที่ปรับปรุงมีการอนุมัติแล้วใช่หรือไม่
86
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามเปิด
มักใช้เพื่อให้ Auditee อธิบายการทางานให้ละเอียดยิ่งขึน้ เช่น
• กรุณาอธิบายขั้นตอนในการพิจารณาระดับของ Incident
• คุณมีเกณฑ์อย่างไรในการประเมินผูร้ ับจ้างช่วง
87
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามพิสูจน์
มักใช้ในกรณีที่ต้องการค้นหาความจริงทีช่ ัดเจน ซึ่งอาจคล้ายกับการสอบสวน จึงควรระวังคาพูด
ที่ใช้ในการถาม เช่น
• คุณมั่นใจได้อย่างไรว่า พนักงานทุกคนเข้าใจในการปฏิบัติตามนโยบายของศูนย์คอมฯ
88
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามโต้แย้ง
มักใช้กรณีที่ Auditee มีคาตอบที่ขัดแย้งกับสิ่งที่ตรวจพบ ซึ่งบางครั้งอาจเกิดจากความเข้าใจผิด
ระหว่าง Auditor กับ Auditee เช่น
• เมื่อสักครู่ คุณพูดว่าจะจัดการเฉพาะข้อร้องเรียนทีเ่ ป็นปัญหาใหญ่เท่านั้นหรือครับ / ค่ะ
• ใน Procedure ระบุว่าคุณจะมีการประเมินผู้รับจ้างช่วงทุกเดือน แต่สาหรับผู้รับจ้างช่วงราย
นี้ คุณประเมินเพียง 6 เดือนต่อครั้ง อย่างนั้นใช่ไหมครับ / ค่ะ
89
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามสะท้อน
มักใช้กรณีที่ Auditor ต้องการจะทดสอบความเข้าใจของตนเองในสิ่งที่ Auditee ตอบ เช่น
• ผมเข้าใจถูกต้องหรือไม่ว่า คุณมีการตรวจสอบระบบบริหารทุก 6 เดือน และสามารถเพิ่ม
ความถี่ได้ในกรณีที่มีความไม่สอดคล้องเกิดขึ้นในกระบวนการ
90
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามนา
มักใช้ในกรณีที่ Auditee มีความตื่นเต้น/ประหม่า จนไม่สามารถอธิบายได้ชัดเจน Auditor
จึงช่วยถามนาเพื่อไปสู่คาตอบที่ต้องการ เช่น
• คุณใช้คู่มือการทางาน หมายเลข 001 สาหรับการบารุงรักษาเครือ่ งแม่ข่ายใช่ไหมครับ / ค่ะ
91
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.1 การสัมภาษณ์ (Interview)
ประเภทคาถามที่ใช้สาหรับการตรวจประเมิน (ต่อ)
คาถามสรุป
มักใช้ในกรณีที่ Auditor ต้องการสรุป ประเด็นของสิ่ งที่พบให้ชัดเจนอีกครั้ง เพื่อให้มั่นใจว่า
ทุกฝ่ายเข้าใจตรงกัน เช่น
• สรุ ป ว่ า ในการประเมิ น ผู้ รั บ จ้ า งช่ ว งทุ ก ประเภท ในด้ า นคุ ณ ภาพ ความปลอดภั ย และ
สิ่ ง แวดล้ อ ม คุ ณ มี ก ารประเมิ น ทุ ก ๆ 6 เดื อ น โดยใช้ เ กณฑ์ เ ดี ย วกั น ตามที่ ร ะบุ ไ ว้ ใ น
Procedure 001…
92
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.2 การตรวจสอบเอกสาร
• มีความครบถ้วน ถูกต้องตามข้อกาหนด ISO/IEC 27001:2013
• มีความครบถ้วน ถูกต้องตามเอกสารการทางานและระบบบริหารความมั่นคงปลอดภัย
สารสนเทศ
• มีการปฏิบัติงานตรงกับข้อกาหนด และเอกสารที่ระบุไว้
93
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.3 การสังเกตการปฏิบัติงาน
• การปฏิบัติงานของพนักงานตรงกับเอกสาร
• การเคลื่อนย้ายและจัดเก็บ อุปกรณ์ และข้อมูล เอกสารต่าง ๆ
• สภาพเครื่องแม่ข่าย ห้องดาต้าเซ็นเตอร์ และอุปกรณ์
• การชี้บ่งชั้นความลับข้อมูล การชี้บ่งอุปกรณ์ สายสัญญาณ และอื่น ๆ
• การบันทึกข้อมูลอย่างต่อเนือ่ ง
• ค่าควบคุมกระบวนการต่าง ๆ ที่จาเป็น เช่น Threshold, SLA, Capacity, etc.
94
ดาเนินการตรวจประเมิน
2. การตรวจประเมิน (Auditing)
2.3 การสังเกตการปฏิบัติงาน
เทคนิคในการสอบกลับ จากสิ่งที่ตรวจสอบเจอ
• เอกสาร และบันทึกต่าง ๆ
• พนักงานผู้ปฏิบัติงาน และพฤติกรรมการปฏิบัติงาน
• คาตอบที่ได้จากการสัมภาษณ์
• วัสดุ อุปกรณ์ ผลิตภัณฑ์ ที่ใช้ในการปฏิบัติงาน
95
ดาเนินการตรวจประเมิน
3. สิ่งที่พบจากการตรวจประเมิน (Audit findings)
3.1 หลักฐานที่ได้ใช้เทียบกับ Audit criteria
3.2 บันทึกหลักฐานความสอดคล้องและไม่สอดคล้องกับหลักเกณฑ์ชดั เจน สามารถทวนสอบได้
3.3 กรณีความเห็นที่แตกต่าง ควรแก้ไข และบันทึกสิ่งทีไ่ ม่สามารถตกลงได้
3.4 การจดบันทึกสิ่งที่พบ
• หน่วยงาน / กิจกรรม
• ชื่อตาแหน่งบุคคลที่พบ
• คาตอบที่ได้จากการสัมภาษณ์
• สถานการณ์ที่พบ
• เอกสารและสถานะของเอกสาร
• รายละเอียดของข้อมูล เช่น รายงานผลการเจาะระบบ
96
ดาเนินการตรวจประเมิน
3. สิ่งที่พบจากการตรวจประเมิน (Audit findings)
3.5 การประเมินหลักฐานที่พบ เทียบกับ Audit criteria
• สอดคล้องตามข้อกาหนด (Conformity)
• ไม่สอดคล้องตามข้อกาหนด (Nonconformity)
• ข้อสังเกต (Observation)
• โอกาสในการพัฒนาปรับปรุง หรือ ข้อเสนอแนะ (Opportunity for Improvement)
97
ดาเนินการตรวจประเมิน
4. การตัดสินผลการตรวจประเมิน
ผลการตรวจประเมิน สามารถแบ่งออกได้เป็น 4 เกณฑ์ คือ
• Conformance (C)
- สอดคล้องตามข้อกาหนด
• Nonconformance (NC)
- ไม่สอดคล้องตามข้อกาหนด
• Observation (OBS)
- ข้อสังเกต
• Opportunity for Improvement (OFI) - โอกาสในการพัฒนาปรับปรุง หรือ ข้อเสนอแนะ
98
ดาเนินการตรวจประเมิน
99
ดาเนินการตรวจประเมิน
4. การตัดสินผลการตรวจประเมิน
Nonconformance (NC)
ความไม่สอดคล้องกับข้อกาหนด
• ไม่ปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัย
• ไม่เป็นไปตามข้อกาหนดในมาตรฐาน ISO/IEC 27001:2013
• ไม่ปฏิบัติตามกระบวนการหรือขั้นตอนการทางาน
• ไม่ปฏิบัติตามข้อกาหนดทางกฎหมาย
100
ดาเนินการตรวจประเมิน
4. การตัดสินผลการตรวจประเมิน
Observation (OBS)
ข้อสังเกต ที่อาจจะก่อให้เกิดความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
• ข้อมูลที่ได้จากการตรวจประเมินไม่เพียงพอทีจ่ ะสามารถสรุปผลได้ในเวลาทีด่ าเนินการตรวจ
ประเมินว่าเป็น NC หรือไม่ โดยให้กาหนดแนวทางการจัดหาเอกสารเพิ่มเติมที่ผู้ถูกตรวจ
ประเมินต้องจัดส่งหรือชี้แจง
• ประเด็นการดาเนินงานที่เกิดจากการเฝ้าสังเกต ต้องนาไปใส่ไว้ในรายการตรวจประเมิน
(Checklist) สาหรับการตรวจประเมินครั้งต่อไป
101
ดาเนินการตรวจประเมิน
4. การตัดสินผลการตรวจประเมิน
Opportunity for Improvement (OFI)
โอกาสในการพัฒนาปรับปรุง หรือข้อเสนอแนะ
• เมื่อเหตุการณ์ที่พบเป็นไปตามข้อกาหนด แต่ผู้ตรวจประเมินมีข้อเสนอแนะ
• เพื่อให้การดาเนินงานดังกล่าวมีประสิทธิภาพมากยิ่งขึ้น
• ผู้รับการตรวจประเมินอาจจะไม่ต้องแก้ไขตามข้อเสนอแนะได้
102
ดาเนินการตรวจประเมิน
5. การปิดประชุม (Closing Meeting)
หลังจากจัดทารายงานเสร็จ Auditor ปิดประชุม และรายงานผลการตรวจประเมินให้กับ Auditee
และผู้บริหาร โดยมีหัวข้อปิดประชุม ดังนี้
• ขอบคุณในความร่วมมือต่าง ๆ ของ Auditee
• ทบทวนวัตถุประสงค์ และขอบเขตการตรวจประเมิน
• อธิบายผลการตรวจประเมินที่พบ (NC, OBS, OFI)
• ข้อแนะนาอื่น ๆ สาหรับการตรวจประเมินในครัง้ หน้า
103
กระบวนการตรวจประเมิน
วางแผน
การตรวจประเมิน
เตรียมการก่อน
การตรวจประเมิน
ดาเนิน
การตรวจประเมิน
สรุป และ
รายงานผลการ
ตรวจประเมิน
ติดตามการแก้ไข
104
การสรุปและรายงานผลการตรวจประเมิน
1. การเขียนอธิบายสิง่ ทีไ่ ม่เป็นไปตามข้อกาหนดที่ควรครอบคลุม
•
•
•
•
WHAT
WHERE
WHY
VIOLATION
: หลักฐานที่พบ
: พื้นที่ที่พบประเด็น
: ลักษณะของประเด็น
: ข้อกาหนดที่อ้างอิง เช่น ISO 27001:2013, เอกสารสัญญา, ข้อตกลง, นโยบายองค์กร,
กฎหมายที่เกี่ยวข้อง
2. ควรเขียนให้กระชับ อ่านง่าย ได้ใจความ
3. บันทึกลงเอกสาร Audit Note และ Internal Audit Report
105
การสรุปและรายงานผลการตรวจประเมิน
What
• Vendor บริษัท AAA สามารถเข้าถึงระบบ และแก้ไขค่า Config
ของ Firewall ได้ในบางครั้ง
Where
• Firewall ในห้อง Data Center ที่ Rack K
Why
Violate
• ยังไม่มีหลักฐานการขออนุญาตเข้าถึงระบบ และการอนุมัติจากเจ้าของ
ระบบหรือผู้บริหาร
• A.9.2 (User access management) of ISO/IEC 27001:2013
106
การสรุปและรายงานผลการตรวจประเมิน
4. การจัดทารายงานสรุปผลการตรวจประเมิน ควรระบุ
• รายชื่อทีม Auditor, Auditee, แผนกที่รับการตรวจประเมิน
• วัตถุประสงค์ ขอบเขต และ เกณฑ์การตรวจประเมิน
• สรุปผลของจานวน NC, OBS, OFI
• สรุปประเด็นต่าง ๆ ที่สาคัญ
107
การสรุปและรายงานผลการตรวจประเมิน
108
การสรุปและรายงานผลการตรวจประเมิน
5. ผลการตรวจประเมินสามารถนาไปจัดทารายงานโดยที่
• กรณีพบปัญหาที่เป็นสิ่งทีไ่ ม่เป็นไปตามข้อกาหนด (NC)
ให้ Auditor ออกใบ CAR – Corrective Action Request (เอกสารร้องขอให้มีการแก้ไข)
o ผู้ตรวจประเมินต้องจัดทารายงานผลการตรวจประเมินภายใน เพื่อให้ผู้บริหารพิจารณาและอนุมัติผลก่อนส่งให้ผู้ถูกตรวจ
ประเมินและผู้ที่เกี่ยวข้องภายในระยะเวลา 15 วันทาการ หลังการตรวจประเมินแล้วเสร็จ
o ผู้ได้รับคาร้องการดาเนินการแก้ไข (CAR) จัดทาแนวทางหรือวิธีการแก้ไขปัญหาที่พบให้กับผู้ตรวจประเมินภายใน
ภายใน 15 วันทาการ นับตั้งแต่วันที่ได้รับคาร้องการดาเนินการแก้ไข (CAR)
o กรณีที่มีการจ้างบริษัทจากภายนอกเพื่อทาการตรวจประเมินภายใน ให้ผู้ได้รับคาร้องการดาเนินการแก้ไข (CAR) จัดทา
แนวทางหรือวิธีการแก้ไขปัญหาที่พบให้กับผู้แทนกรรมการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ (ISMR)
เพื่อดาเนินการส่งต่อให้กับผู้ตรวจประเมินที่มาจากภายนอก ภายใน 15 วันทาการ นับตั้งแต่วันที่ได้รับคาร้องการ
ดาเนินการแก้ไข (CAR)
109
การสรุปและรายงานผลการตรวจประเมิน
5. ผลการตรวจประเมินสามารถนาไปจัดทารายงานโดยที่
• กรณีที่พบโอกาสในการปรับปรุง หรือมีแนวโน้มที่จะเกิดปัญหาในอนาคต (OBS, OFI)
ให้ Auditor ตกลงกับ Auditee ในการปรับปรุงปัญหาเหล่านี้
110
การสรุปและรายงานผลการตรวจประเมิน
6. การเขียนใบ CAR
หลักการ : ใบ CAR 1 ใบ ควรระบุประเด็นปัญหาเพียง 1 ปัญหา
5.1 การเขียนประเด็นปัญหา ควรระบุให้ครบ ดังนี้
• ปัญหาที่พบ เช่น Vendor บริษัท AAA สามารถเข้าถึงระบบและแก้ไข Config ของ
Firewall (ห้อง Data Center ที่ Rack K) ได้
• หลักฐานที่พบ เช่น Log Access บนอุปกรณ์ Firewall เป็นชื่อบริษัท AAA เมื่อวันที่ 15
เมษายน พ.ศ. 2563 เวลา 14:15 น. และ CCTV Record
• เอกสารอ้างอิง เช่น เอกสารขอเข้าถึงพื้นทีห่ ้อง DC1 และ ลายเซ็นเอกสารใน Visitor log
รวมถึงเอกสาร User Access Right ไม่ตรงกับ User ID บนอุปกรณ์ Firewall
111
การสรุปและรายงานผลการตรวจประเมิน
6. การเขียนใบ CAR
หลักการ : ใบ CAR 1 ใบ ควรระบุประเด็นปัญหาเพียง 1 ปัญหา
5.1 การเขียนประเด็นปัญหา ควรระบุให้ครบ ดังนี้ (ต่อ)
• ข้อกาหนดที่ไม่สอดคล้อง เช่น ข้อ A.9.2 (User access management)
112
ตัวอย่างใบ CAR
113
กระบวนการตรวจประเมิน
วางแผน
การตรวจประเมิน
เตรียมการก่อน
การตรวจประเมิน
ดาเนิน
การตรวจประเมิน
สรุป และ
รายงานผลการ
ตรวจประเมิน
ติดตามการแก้ไข
114
ติดตามการแก้ไข
การตอบรับการแก้ไขและป้องกัน
Auditee : ผู้รับการตรวจ
• ผู้ได้รับคาร้องการดาเนินการแก้ไข (CAR) จัดทาแนวทางหรือวิธีการแก้ไขปัญหาที่พบให้กับผู้ตรวจ
ประเมินภายใน ภายใน 15 วันทาการ นับตั้งแต่วันที่ได้รับคาร้องการดาเนินการแก้ไข (CAR)
• กรณีที่มีการจ้างบริษัทภายนอก เพื่อทาการตรวจประเมินภายใน ให้ผู้ได้รับคาร้องการดาเนินการแก้ไข
(CAR) จัดทาแนวทางหรือวิธีการแก้ไขปัญหาทีพ่ บให้กับผู้แทนกรรมการบริหารจัดการความมั่นคง
ปลอดภัยข้อมูลสารสนเทศ (ISMR) เพื่อดาเนินการส่งต่อให้กับผู้ตรวจประเมินที่มาจากภายนอก
ภายใน 15 วันทาการ นับตั้งแต่วันที่ได้รับคาร้องการดาเนินการแก้ไข (CAR)
115
ติดตามการแก้ไข
การตอบรับการแก้ไขและป้องกัน
Auditee : ผู้รับการตรวจ
หัวหน้าส่วน / ฝ่าย ทีเ่ กี่ยวข้อง มอบหมายผู้รับผิดชอบ โดยให้ดาเนินการแก้ไขและป้องกันปัญหา
• ผู้รับผิดชอบดาเนินการหาสาเหตุของปัญหา
• ระบุวิธีการแก้ไขปัญหา
o ผู้รับผิดชอบจัดการกับปัญหา กาหนดวิธีการแก้ไข พร้อมทั้งกาหนดระยะเวลาในการดาเนินงานลงใน
รายงานการดาเนินการแก้ไขและป้องกัน (CAR)
o ผู้รับผิดชอบจัดการกับปัญหา จะต้องจัดทาแผนหรือปรับปรุงเอกสาร ตลอดจนขั้นตอนการปฏิบัติ
ที่เกี่ยวข้องด้วย เช่น
❑ จัดเตรียมขั้นตอนการปฏิบตั ิงานเพือ่ แก้ไขปัญหา
❑ จัดทาแผนการดาเนินงาน
116
ติดตามการแก้ไข
การตอบรับการแก้ไขและป้องกัน
Auditee : ผู้รับการตรวจประเมิน
o ระบุวิธีการแก้ไขปัญหา
❑ ผู้รับผิดชอบจัดการกับปัญหา จะต้องส่งวิธีการแก้ไขปัญหาและแนวทางการแก้ไข ให้แก่ หัวหน้าส่วน / ฝ่าย ทาการอนุมัติ
o อนุมัติวิธีการแก้ไขปัญหา
❑ หัวหน้าส่วน / ฝ่าย ที่รับผิดชอบ มีหน้าที่อนุมัติวิธีการแก้ไขปัญหาตามที่ผู้รับผิดชอบนาเสนอ
o ดาเนินการแก้ไขปัญหา
❑ การกาหนดแนวทางการป้องกัน
117
ติดตามการแก้ไข
การตอบรับการแก้ไขและป้องกัน
Auditor : ผู้ตรวจประเมิน
o การตรวจสอบยืนยัน
❑ การกาหนดผู้ตรวจประเมินยืนยัน (หัวหน้าทีมผู้ตรวจประเมิน)
❑ ผู้ตรวจประเมินยืนยัน ต้องดาเนินการตรวจประเมินผลการแก้ไข ภายหลังได้รับรายงานผลการดาเนินการจากผู้รับผิดชอบ
จัดการกับปัญหาในการดาเนินการ ภายใน 15 วันทาการ
o วิธีการตรวจสอบยืนยัน
❑ การตรวจสอบยืนยันการดาเนินการแก้ไขและปรับปรุง
❑ การตรวจสอบยืนยันประสิทธิภาพของการดาเนินการว่าไม่พบปัญหาใหม่เกิดขึ้น ถ้าพบปัญหา ให้ดาเนินการแจ้งปัญหาผ่าน
รายงานการดาเนินการแก้ไขและป้องกันปัญหาอีกครั้ง
118
ติดตามการแก้ไข
การตอบรับการแก้ไขและป้องกัน
Auditor : ผู้ตรวจประเมิน
o แนวทางการตรวจประเมิน
❑ ตรวจประเมินจากเอกสารที่ได้รับ
❑ ตรวจประเมินจากผลการดาเนินงานในส่วนที่เกิดปัญหา
o การอนุมัติผลการดาเนินงาน
❑ การปิดรายงานการดาเนินการแก้ไขและป้องกัน (CAR) ทาได้โดยการตรวจประเมินยืนยันการดาเนินการที่ได้ทาไป เพื่อ
ยืนยันถึงประสิทธิภาพของการดาเนินการดังกล่าวที่มีต่อสถานการณ์นั้น ๆ
❑ ผลจากการตรวจประเมินยืนยันจะเป็นส่วนหนึ่งของรายงานการดาเนินการแก้ไขและป้องกัน (CAR)
119
ติดตามการแก้ไข
การติดตามผล
Auditor : ผู้ตรวจประเมิน
• สิ่งที่พบจากการตรวจประเมินภายใน (Internal Audit) หรือจากการตรวจประเมินจากภายนอก (External Audit)
ผู้ตรวจประเมินภายใน มีหน้าที่ในการติดตามการดาเนินการแก้ไขและป้องกัน พิจารณาหลักฐานที่พบ และตัดสินปิด
ประเด็น CAR กรณีพบว่าหลักฐานเหมาะสม
• ผู้ตรวจประเมินภายใน ต้องตรวจประเมินผลการแก้ไขและป้องกัน โดยดาเนินการตรวจประเมินตามคาร้องการ
ดาเนินการแก้ไข (CAR)
• ถ้าพบว่าหลักฐานไม่เหมาะสม/ไม่ครบถ้วน ให้ออก CAR ใหม่ หรือ ให้ Auditee ระบุเลื่อนการแก้ไข
• รับผิดชอบสรุปประเด็นปัญหาที่พบจากการตรวจประเมิน และรายงานในที่ประชุมทบทวนฝ่ายผู้บริหาร
120
สรุปผลการตรวจประเมินสาหรับผู้บริหาร
• สรุปประเด็นปัญหาที่พบจากการตรวจประเมิน และรายงานในที่ประชุมทบทวนฝ่ายผู้บริหาร
121
Workshop 2 - การตรวจประเมิน
1. ทาการออกใบ NC ประเด็นความไม่สอดคล้องข้อหัวข้อ Equipment รวมถึงรายการควบคุม Annex A. จาก
เหตุการณ์ที่ตรวจพบดังนี้ (มี 2 ประเด็น)
จากตรวจพบว่ามีการนาอุปกรณ์ Firewall (Palo alto) Asset ID: FW001 ที่หมดสัญญาการให้บริการของบริษัท
AAA ออกจากห้อง Data Center เพื่อส่งคืนบริษัทเมื่อวันที่ 15 ตุลาคม 2566 โดยตรวจสอบจากบันทึกของกล้อง
CCTV แต่ไม่พบหลักฐานการนาอุปกรณ์ออก และไม่พบหลักฐานการทาลายข้อมูลสาคัญก่อนนาอุปกรณ์ออก
122
QUESTIONS ?
THANK YOU ☺
Confidential
123
Download
advertisement